思科 EoL S系列路由器中的严重漏洞但不会发布修补程序

admin 2023年1月13日21:17:35安全漏洞评论10 views762字阅读2分32秒阅读模式

思科 EoL S系列路由器中的严重漏洞但不会发布修补程序

思科警告存在一个严重漏洞,跟踪为 CVE-2023-20025(CVSS 分数为 9.0),该漏洞会影响小型企业 RV016、RV042、RV042G 和 RV082 路由器。这家IT巨头宣布,这些设备将不会收到任何安全更新来解决该错误,因为它们已达到生命周期(EoL)。

该漏洞是存在于攻击者路由器的基于 Web 的管理界面中的身份验证绕过问题。未经身份验证的远程攻击者可利用 CVE-2023-20025 缺陷绕过易受攻击设备上的身份验证。该缺陷是由于未正确验证传入 HTTP 数据包中的用户输入所致。攻击者可通过向基于 Web 的管理界面发送特制的 HTTP 请求来触发该缺陷。“成功利用此漏洞可使攻击者绕过身份验证并获得底层操作系统上的根访问权限。”“思科没有也不会发布解决此漏洞的软件更新。没有解决此漏洞的解决方法。

这家通信技术公司表示,没有解决方法可以修复此缺陷,但是,管理员可以禁用远程管理并阻止对端口443和60443的访问。

思科还解决了跟踪为CVE-2023-20026(CVSS得分6.5)的远程命令执行漏洞,该漏洞影响思科S系列RV016、RV042、RV042G和RV082路由器。

“此漏洞是由于未正确验证传入HTTP数据包中的用户输入所致。攻击者可通过向基于 Web 的管理界面发送构建的 HTTP 请求来利用此漏洞。“成功的利用此漏洞可能允许攻击者获得根级权限并访问未经授权的数据。要利用此漏洞,攻击者需要在受影响的设备上拥有有效的管理凭据。

思科也不会发布解决此漏洞的软件更新,它还提供与解决CVE-2023-20025相同的缓解措施。PSIRT公司意识到这些缺陷的概念验证漏洞利用代码的可用性。思科 PSIRT 未发现任何恶意使用本通报中描述的漏洞的行为。


原文始发于微信公众号(黑猫安全):思科 EoL S系列路由器中的严重漏洞但不会发布修补程序

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月13日21:17:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  思科 EoL S系列路由器中的严重漏洞但不会发布修补程序 http://cn-sec.com/archives/1517461.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: